Malware que ataca plataformas de e-commerce lidera índice de ameaças do Brasil

Relatório mostra que houve muita atividade do Formbook e Lokibot em abril, bem como o destaque da vulnerabilidade Spring4Shell; no Brasil, o revés foi maior com o Chaes (malware que ataca plataformas de e-commerce principalmente na América Latina) desbancando o Emotet da liderança da lista nacional

Compartilhar:

A Check Point publicou o Índice Global de Ameaças referente ao mês de abril de 2022. Os pesquisadores relataram que o Emotet, um cavalo de Troia avançado, autopropagável e modular, ainda é o malware mais prevalente, afetando 6% das organizações em todo o mundo.

 

Apesar disso, houve uma movimentação no ranking para todos os outros malwares do índice. Tofsee e Nanocore saíram da lista global e foram substituídos por Formbook e Lokibot, agora o segundo e o sexto malwares mais predominantes, respectivamente. 

 

No Brasil, o revés foi maior, pois o Emotet ficou em segundo lugar na lista nacional de abril sendo desbancado pelo Chaes, o malware responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros.

 

A pontuação mais alta do Emotet na lista referente ao mês de março (10%) deveu-se principalmente a golpes específicos relacionados ao tema da Páscoa. Mas, a redução em abril também pode ser explicada pela decisão da Microsoft de desabilitar macros específicas associadas a arquivos do Office, afetando a maneira como o Emotet geralmente é entregue.

 

De fato, há relatos de que o Emotet possui um novo método de entrega, usando e-mails de phishing que contêm uma URL do OneDrive. O Emotet tem muitos usos depois que consegue contornar as proteções de uma máquina. Devido às suas técnicas sofisticadas de propagação e assimilação, o Emotet também oferece outros malwares para cibercriminosos em fóruns da Dark Web, incluindo cavalos de Troia bancários, ransomwares, botnets, entre outros. Como resultado, uma vez que o Emotet encontra uma violação, as consequências podem variar dependendo de qual malware foi entregue após a violação ter sido comprometida.

 

A partir do segundo lugar no índice global de abril, a CPR observou uma reviravolta. O Lokibot, um InfoStealer (roubo de informações), voltou a entrar na lista ocupando o sexto lugar após uma campanha de spam de alto impacto, a qual distribuiu o malware por meio de arquivos xlsx feitos para parecerem faturas legítimas. Isso, e a ascensão do Formbook, afetaram a posição de outros malwares como o cavalo de Troia de acesso remoto avançado (RAT) AgentTesla, por exemplo, que passou do segundo para o terceiro lugar.

 

Em termos de vulnerabilidades críticas, no final de março, essas foram encontradas no Java Spring Framework, conhecidas como Spring4Shell e, desde então, vários atacantes aproveitaram a ameaça para espalhar o Mirai, o nono malware mais prevalente em abril.

 

“Com o cenário de ameaças cibernéticas em constante evolução e com grandes corporações como a Microsoft influenciando os parâmetros nos quais os cibercriminosos podem operar, os atacantes precisam se tornar mais criativos na forma como distribuem malware, evidente no novo método de entrega agora empregado pelo Emotet”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies. 

 

A CPR também revelou em abril que Educação e Pesquisa continua sendo o setor mais atacado globalmente por cibercriminosos. A “Web Server Exposed Git Repository Information Disclosure” é a principal vulnerabilidade mais explorada, impactando 46% das organizações em todo o mundo, seguida de perto pela “Apache Log4j Remote Code Execution”. A “Apache Struts ParametersInterceptor ClassLoader Security Bypass” foi a vulnerabilidade que disparou no índice, ocupando o terceiro lugar em abril com um impacto global de 45%.

 

Principais famílias de malware

 

* As setas referem-se à mudança na classificação em comparação com o mês anterior.

 

Em abril, o Emotet ainda foi o malware mais popular, afetando 6% das organizações em todo o mundo, seguido de perto pelo Formbook que impactou 3% das organizações e o AgentTesla com impacto de 2%.

 

↔ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas. Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.

 

↑ Formbook – É um InfoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo. O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).

 

↓ AgentTesla – É um RAT (Remote Access Trojan) avançado que funciona como um keylogger e ladrão de informações, capaz de monitorar e coletar as entradas do teclado da vítima, o teclado do sistema, tirar capturas de tela e filtrar credenciais para uma variedade de software instalado na máquina da vítima (incluindo o Google Chrome, Mozilla Firefox e o cliente de e-mail do Microsoft Outlook).

 

Principais setores atacados no mundo:

 

Em abril, Educação e Pesquisa foi o setor mais atacado globalmente, seguido por Governo/Militar e Internet Service Providers & Managed Service Providers (ISP/MSP), mesmo ranking de março.

 

1.Educação/Pesquisa

2.Governo/Militar

3.ISP/MSP

 

No Brasil, os três setores no ranking nacional mais visados em abril foram:

 

1.Integrador de Sistemas/VAR/Distribuidor 

2.Governo/Militar 

3.Varejo/Atacado

 

Principais vulnerabilidades exploradas

 

Em abril, a equipe da CPR também revelou que a “Web Server Exposed Git Repository Information Disclosure” foi a vulnerabilidade mais explorada, impactando 46% das organizações no mundo, com a “Apache Log4j Remote Code Execution” praticamente “colada” em segundo lugar com impacto global também de 46%. A “Apache Struts ParametersInterceptor ClassLoader Security Bypass” está agora em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 45%.

 

↑ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.

 

↓ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.

 

↑ Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) – Existe uma vulnerabilidade de desvio de segurança no Apache Struts. A vulnerabilidade é devido à validação inadequada dos dados processados pelo ParametersInterceptor permitindo a manipulação do ClassLoader. Um atacante remoto pode explorar essa vulnerabilidade fornecendo um parâmetro de classe em uma solicitação.

 

Principais malwares móveis

 

Em abril, o AlienBot foi o malware móvel mais prevalente, seguido por FluBot e xHelper.

 

1.AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.

 

2.FluBot – É um malware de rede de bots Android distribuído por meio de mensagens SMS de phishing, na maioria das vezes se passando por marcas de entrega e logística. Assim que o usuário clica no link inserido na mensagem, o FluBot é instalado e obtém acesso a todas as informações confidenciais no telefone.

 

3.xHelper – Um aplicativo Android malicioso, observado desde março de 2019, usado para baixar outros aplicativos maliciosos e exibir anúncios. O aplicativo é capaz de se esconder do usuário e se reinstala caso seja desinstalado.

 

Os principais malwares de abril no Brasil

 

O principal malware no Brasil em abril foi o Chaes (6,50%), assumindo a liderança e deixando o Emotet em segundo lugar (5,66%) no ranking nacional, enquanto o XMRig (2,75%) ocupou o terceiro lugar. 

 

Em março, o Chaes havia aparecido pela primeira vez no ranking nacional e ocupou o segundo lugar. Este ladrão de informações (InfoStealer) é usado para roubar dados confidenciais do cliente, como credenciais de login e informações financeiras. Este malware é conhecido por usar técnicas de evasão para evitar detecções de antivírus. Chaes foi visto no passado visando clientes de plataformas de comércio eletrônico, principalmente na América Latina, como Mercado Livre e Mercado Pago.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...